Worm via Google op zoek naar phpBB-scripts

Gestart door Han, 23 december 2004, 01:59:26

Vorige topic - Volgende topic

0 leden en 1 gast bekijken dit topic.

Han

Bron : www.webwereld.nl

Worm via Google op zoek naar phpBB-scripts - Woe 22 december 2004
De kerstworm Santy.A is een nieuw virus dat webservers met het veelgebruikte phpBB-forum infecteert en zich verspreidt via Google.

Gewone internetters hebben niets te vrezen van de worm Santy.A die dinsdag voor het eerst is gesignaleerd. De worm maakt gebruik van een lek in het phpBB-script dat veel wordt gebruikt voor fora op websites.

Webservers die deze scripts hosten, lopen het risico door Santy.A besmet te raken. Als de worm een slachtoffer heeft gevonden, wordt de volgende tekst afgebeeld: 'This site is defaced!!! NeverEverNoSanity WebWorm'.

De worm start zelf een zoekopdracht via Google naar andere webservers waarop phpBB draait. Tevens overschrijft de worm alle bestanden van de site die de extensie .html, php,asp,shtm,jsp en phtm hebben met de tekst This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation, aldus experts van antivirussoftwaremaker Kaspersky Labs.

Het aantal besmettingen is al flink opgelopen, zo blijkt uit een zoekopdracht bij MSN.

Het is volgens Mikko Hyppönen van F-Secure niet waarschijnlijk dat de worm ook een Trojaans paard installeert. "Het infecteert geen individuele computers, tenzij ze een dergelijk forum hebben draaien."

Gesuggereerd wordt dat de worm was bedoeld om met Kerstmis uit te komen. De worm zou op die manier veel schade kunnen aanrichten op websites omdat de besmettingen door de feestdagen pas laat ontdekt worden.

Volgens de site Security.nl is Google dinsdagnacht begonnen met het filteren van deze queries, waardoor de worm zich niet meer kan verspreiden. Hoeveel websites door de worm getroffen zijn is niet bekend. Volgens een zoekresultaat in Google zou het om 202 geinfecteerde websites gaan.
Als de PCN-server down is, dan moeten we 'm opvrolijken!!

Han

Dit is eaxct wat shira van de week is overkomen

Controleren zo snel mogelijk welke PHP-versie draait bij de host die jouw forum/webruimte beheerd. Is dat geen PHP 4.3.10 of PHP 5.0.3 neem dan direct contact op met je host hierover om te voorkomen dat het bij jouw ook mis gaat.
Upgrade je PHPbb forum naar de laatst beschikbare versie.

Hoe kom je erachter welke PHP versie in jou webruimte draait :
- Open kladblok
- zet daarin de txt  die hieronder in cursief staat:
   <?php
   phpinfo();
   ?>

- Sla het bestandje op met naam phpinfo.php
- upload het naar je webspace en geef het bestand het CHMOD alle rechten (777)
- open het bestand nu in je browser door ernaartoe te surfen. (http://www.jouwdomeinnaam.nl/phpinfo.php)
- Je ziet dan al de gegevens van jouw PHP versie. Maak aantekeningen of sla de pagina op
- !!!! Verwijder het bestand phpinfo.php weer uit je webruimte. !!!!
Als de PCN-server down is, dan moeten we 'm opvrolijken!!

Han

Onze host laat ook van zich horen :

Op deze Kerstnacht willen we u graag met spoed wijzen op een worm die zich met een razendsnel tempo via het internet verspreidt. Deze worm maakt gebruik van een programmeerfout in de phpBB forum software. De worm verandert de bestanden van uw website - zodat deze niet meer te zien is op het internet - en infecteert vervolgens andere websites.

Indien u gebruik maakt van de phpBB forum software - welke o.a. via ons control panel kan worden geinstalleerd - dient u MET DE GROOTSTE SPOED te upgraden naar de nieuwste versie. Deze versie kunt u downloaden op de onderstaande pagina:
http://www.phpbb.com/downloads.php

Instructies voor het upgraden kunt u hier vinden:
http://www.phpbb.com/support/documents.php?mode=install

Onze host pakt dit erg serieus aan. Ze nemen het recht om websites welke niet spoedig upgraden naar deze versie van phpBB om veiligheidsredenen af te sluiten. Ik geef ze groot gelijk.
Als de PCN-server down is, dan moeten we 'm opvrolijken!!